Eden od pogostih nasvetov o varnosti računa je, da morajo uporabniki redno spreminjati svoja gesla. Razlog za ta pristop je skrajšanje časa veljavnosti katerega koli gesla v primeru, da bi bilo kdaj ogroženo. Celotna strategija temelji na zgodovinskih nasvetih vrhunskih skupin za kibernetsko varnost, kot je ameriški NIST ali Nacionalni inštitut za standarde in tehnologijo.
Desetletja so vlade in podjetja sledile tem nasvetom in prisilile svoje uporabnike, da redno ponastavljajo gesla, običajno vsakih 90 dni. Sčasoma pa so raziskave pokazale, da ta pristop ni deloval, kot je bilo predvideno, in leta 2017 NIST skupaj z Združenim kraljestvom NCSC, ali National Cyber Security Centre, so spremenili svoje nasvete, da zahtevajo spremembo gesla le, če obstaja utemeljen sum o ogroženosti.
Zakaj je bil nasvet spremenjen?
Nasvet za redno spreminjanje gesel je bil prvotno uporabljen za povečanje varnosti. S čisto logičnega vidika je nasvet, da redno posodabljate gesla, smiseln. Izkušnja v resničnem svetu pa je nekoliko drugačna. Raziskave so pokazale, da je zaradi siljenja uporabnikov, da redno spreminjajo svoja gesla, veliko večja verjetnost, da bodo začeli uporabljati podobno geslo, ki bi ga lahko samo povečali. Na primer, namesto da bi izbrali gesla, kot je "9L=Xk&2>", bi uporabniki namesto tega uporabili gesla, kot je "Pomlad 2019!".
Izkazalo se je, da ljudje vedno uporabljajo gesla, ki si jih je enostavno zapomniti, in so bolj nevarna, ko so prisiljeni pripraviti in zapomniti več gesel ter jih nato redno spreminjati. Težava s inkrementalnimi gesli, kot je "Pomlad 2019!" je, da jih je enostavno uganiti in nato olajšati napovedovanje tudi prihodnjih sprememb. Skupaj to pomeni, da prisilna ponastavitev gesla uporabnike spodbudi k izbiri, ki si jih je lažje zapomniti in torej šibkejša gesla, ki običajno aktivno spodkopavajo predvideno korist zmanjšanja prihodnosti tveganje.
Na primer, v najslabšem primeru bi lahko heker ogrozil geslo »Pomlad 2019!« v nekaj mesecih od njegove veljavnosti. Na tej točki lahko preizkusijo različice z "jesen" namesto "pomlad" in verjetno bodo dobili dostop. Če podjetje zazna to varnostno kršitev in nato uporabnike prisili, da spremenijo svoja gesla, je to pošteno verjetno, da bo prizadeti uporabnik svoje geslo samo spremenil v »Zima 2019!« in mislijo, da so varno. Heker, ki pozna vzorec, lahko to poskusi, če lahko znova pridobi dostop. Odvisno od tega, kako dolgo se uporabnik drži tega vzorca, lahko napadalec to uporablja za dostop več let, medtem ko se uporabnik počuti varnega, ker redno spreminja svoje geslo.
Kaj je nov nasvet?
Da bi spodbudili uporabnike, da se izogibajo standardnim geslom, je zdaj nasvet, naj gesla ponastavijo le, če obstaja utemeljen sum, da so bila ogrožena. Če uporabnikov ne silijo, da si redno zapomnijo novo geslo, je večja verjetnost, da bodo najprej izbrali močno geslo.
V kombinaciji s tem so številna druga priporočila za spodbujanje ustvarjanja močnejših gesel. Ti vključujejo zagotavljanje, da so vsa gesla dolga vsaj osem znakov pri absolutnem minimumu in da je največje število znakov vsaj 64 znakov. Priporočil je tudi, da se podjetja začnejo odmikati od pravil o zapletenosti k uporabi seznamov blokiranih z uporabo slovarjev šibkih gesel, kot je "ChangeMe!" in »Geslo1«, ki so zapleteni zahteve.
Skupnost za kibernetsko varnost se skoraj soglasno strinja, da gesla ne bi smela poteči samodejno.
Opomba: Na žalost bo v nekaterih primerih to morda še vedno potrebno, saj nekatere vlade še niso spremenile zakonov, ki zahtevajo potek gesla za občutljive ali tajne sisteme.